Специально сконструированный запрос может привести к зависанию Microsoft Active Directory. Уязвимость обнаружена в серверах Active Directory, использующих механизм аутентификации через GSS-API.
Проблема состоит в том, что, если LDAP клиент делает длинный запрос, и размер страницы при этом установлен в 0, то система Active Directory зависнет и перестанет отвечать на дальнейшие запросы.
Уязвимость обнаружена в Microsoft Windows 2000 Server sp0-sp2.
Сервис S-MAIL.COM работает через Microsoft Outlook 2000
С 23 мая пользоваться защищенной электронной почтой S-Mail.com можно не только через web-интерфейс, но и при помощи программы Microsoft Outlook 2000. Для этого необходимо скачать и установить специальную надстройку - "плагин". Все функции защиты корреспонденции сохраняются и при работе через Outlook.
"Выпуск "плагина" еще больше расширяет возможности S-Mail.com и его аудиторию, - говорит Вячеслав Степанов, директор компании Network Research Lab, которая разработала и поддерживает сервис S-Mail.com. - Теперь каждый, кто привык работать с почтой через Outlook 2000, может поставить "плагин" S-Mail и тем самым защитить свою переписку".
Дистрибутив "плагина" размером 1.32Mb можно бесплатно скачать из раздела "Помощь" на сайте s-mail.com. Там же располагается подробная инструкция по установке и настройке.
Переполнение буфера в популярном сервере открытых ключей PGP
Один из популярных серверов открытых ключей, доступный по адресу http://www.mit.edu/people/marc/pks/pks.html, подвержен уязвимости переполнения буфера. Сообщается, что длинный (более 256 байт) поисковый запрос приведет к отказу сервиса. При определенных условиях это может привести к удаленному выполнению произвольного кода на сервере.
Любое приложение, использующее методы блокировки flock() или fcntl() файлов, доступных на чтение непривилегированным пользователям, подвержено локальным атакам на отказ в обслуживании. Оба этих типа блокировки позволяют пользователям, которые могут открыть файл, применить разделяемую (shared) блокировку на чтение к данному файлу. Это запретит другим процессам установить на файл исключающую блокировку на запись. Кроме того, метод flock() позволяет устанавливать исключающие блокировки, без разделения доступа, на файлы, доступные на чтение.
Многие приложения обязаны использовать методы блокировки файлов для исключения повреждения данных. Не составляет исключения и программа sendmail, где блокировка очень широко применяется для различных файлов - псевдонимов, статистик, pid файлов и др. Любой пользователь, который может открыть один из этих файлов, способен вызвать нарушения в работе самой sendmail или связанных с ней утилит, например, makemap или newaliases. Это может также затронуть возможность обновления программой sendmail файлов статистики.
Для решения проблемы рекомендуется ограничить права доступа на указанные типы файлов и установить в качестве их владельца root или другого привилегированного пользователя, заданного в опции TrustedUser.
Версия sendmail 8.12.4 не обладает данной уязвимостью, поскольку в ней по умолчанию базы данных map и alias создаются с ограниченными разрешениями.
Выполнение произвольного кода через листы стилей XML в Microsoft Excel
Георгий Гунински, известный болгарский исследователь защищенности программных продуктов производства компании Microsoft, выпустил бюллетень, посвященный уязвимости Microsoft Excel.
Ошибка при обработке листов стилей XML позволяет удаленному атакующему создать поддельную электронную таблицу, которая, при ее открытии пользователем, запустит на выполнение произвольный код. Если пользователь откроет такую таблицу (xls файл) и выберет опцию просмотра файла с помощью листов стилей XML, то произвольный код может быть выполнен на компьютере пользователя с использованием объекта ActiveX. При этом Excel не предупредит пользователя о выполнении скрипта, но запросит перед этим подтверждение на использование листов стилей XML.
Единственное решение проблемы, доступное на данный момент - не применять листы стилей XML для просмотра электронных таблиц в Excel.
Научно-практический семинар "Безопасность современных информационных систем"
10-15 июня 2002 года в г. Ялта пройдет научно-практический семинар "Безопасность современных информационных систем".
Работа будет осуществляться в форме практического семинара и предусматривает проведение Пленарного и секционных заседаний по следующим тематическим направлениям: вариант построения фрагмента стационарной составляющей Национальной системы конфиденциальной связи НСКС; информационные технологии и практические аспекты защиты информационных ресурсов; защита банковской информации; технические решения ведущих отечественных и мировых компаний для обеспечения защиты информации; практические решения технической защиты информации; практические решения криптографической защиты информации.
В ходе семинара предлагается принять участие в рассмотрении современных технологических решений для построения элементов НСКС, а также защищенных информационно-телекоммуникационных систем, виртуальных каналов. Планируется развертывание специализированного стенда для демонстрации работы фрагмента корпоративной защищенной сети передачи данных, речевой и видео информации, доступа к глобальным сетям, системам защищенной электронной почты, электронного документооборота с элементами электронной цифровой подписи. Также будут демонстрироваться элементы Государственного центра безопасности информационно-телекоммуникационных систем, с учетом решения вопросов антивирусной защиты и средств противодействия компьютерным преступлениям. Кроме того, будет представлена реализация возможности разделения локальной внутренней сети и глобальной сети Интернет в рамках одного рабочего места, а также типичные
атаки и адекватные методы защиты от них.
Подробная информация о семинаре доступна на сайте Департамента специальных телекоммуникационных систем и защиты информации Службы безопасности Украины по адресу: http://www.dstszi.gov.ua/Nov/Arjiv/25042002.htm.
